Bài giảng An toàn và bảo mật hệ thống thông tin: Chương 2 - Đại học Công nghệ Bưu chính Viễn Thông (TT)

Bài giảng "An toàn và bảo mật hệ thống thông tin - Chương 2: Phần mềm mã độc" cung cấp cho người học các kiến thức: Tổng quan về phần mềm mã độc, giải pháp tổng thể phòng chống phần mềm mã độc, phương pháp phát hiện và loại trừ phần mềm mã độc. Mời các bạn cùng tham khảo.
Nội dung trích xuất từ tài liệu:
Bài giảng An toàn và bảo mật hệ thống thông tin: Chương 2 - Đại học Công nghệ Bưu chính Viễn Thông (TT) CHƯƠNG 2 (TIẾP) PHẦN MỀM MÃ ĐỘC TỔNG QUAN NỘI DUNG 1. Tổng quan về phần mềm mã độc 2. Giải pháp tổng thể phòng chống phần mềm mã độc 3. Phương pháp phát hiện và loại trừ phần mềm mã độc 2 1. Tổng quan về phần mềm mã độc Tổng quan về phần mềm mã độc 1. Khái quát về phần mềm mã độc 2. Phân loại phần mềm mã độc và tác hại của phần mềm mã độc 4 1.1. Khái quát về phần mềm mã độc  Để tấn công/thâm nhập mạng, hacker thường sử dụng các ‘trợ thủ’ như virus, worm, trojan horse, backdoor…  Mã độc (malicious code): tập mã thực thi tự chủ, không đòi hỏi sự can thiệp của hacker  Các bước tấn công/thâm nhập mạng:  Hacker thiết kế mã độc  Hacker gửi mã độc đến máy đích  Mã độc đánh cắp dữ liệu máy đích, gửi về cho hacker  Hacker tấn công hệ thống đích 5 1.2. Phân loại phần mềm mã độc – Tác hại  Phân loại mã độc theo đặc trưng thi hành:  Lệ thuộc ứng dụng chủ (need to host)  Thực thi độc lập (standalone)  Phân loại mã độc theo khả năng tự sao:  Tự sao  Không tự sao 6 7 Cửa sập (Trap door)  “Cửa vào” bí mật của các chương trình  Cho phép những người biết “cửa vào” có thể truy cập, bỏ qua các thủ tục an ninh thông thường  Đã được sử dụng phổ biến bởi các nhà phát triển  Là mối đe dọa trong các chương trình, cho phép khai thác bởi những kẻ tấn công  Rất khó để chặn trong HĐH  Đòi hỏi phát triển & cập nhật phần mềm tốt 8 Bom hẹn giờ (Logic bomb)  Mã được nhúng trong các chương trình hợp lệ  Đoạn mã tự kích hoạt khi thỏa điều kiện hẹn trước (ngày tháng, thời gian…)  Trước khi thoát khỏi hệ thống, hacker thường cài lại bom hẹn giờ nhằm xóa mọi chứng cứ, dấu vết thâm nhập  Khi được kích hoạt, thường gây thiệt hại cho hệ thống: sửa đổi / xóa các file / đĩa  Kỹ thuật bom hẹn giờ cũng được virus máy tính khai thác phổ biến: virus Friday, Chernobyl (24/04), Michelangelo (06/03), Valentine... 9 Ngựa thành Troa (Trojan)  Chương trình có ẩn tác dụng phụ, thường là bề ngoài hấp dẫn như trò chơi, nâng cấp phần mềm  Khi chạy thực hiện một số tác vụ bổ sung:  Cho phép kẻ tấn công truy cập gián tiếp  Thường được sử dụng để truyền bá một virus/sâu hoặc cài đặt một backdoor  Hoặc đơn giản chỉ để phá hủy dữ liệu 10 Ngựa thành Troa và cổng  Mỗi Ngựa thành Troa sử dụng cổng Port(s) làm dấu hiệu nhận dạng và liên lạc với hacker  Quét cổng (0-65535) trên máy đích để thu thập các thông tin: danh sách cổng chuẩn, dịch vụ sử dụng, hệ điều hành sử dụng, các ứng dụng đang sử dụng, tình trạng an ninh hệ thống…  Ví dụ: Nếu cổng 80 mở, máy tính đang kết nối vào dịch vụ HTTP 11 Ngựa thành Troa - hacker  Báo cáo tình hình, thông tin hệ thống cho hacker  Nhận nhiệm vụ từ hacker thông qua cổng trjPort(s)  Các trojan tiêu biểu: Back Orifice, NetBus, QAZ... 12 Virus máy tính  Đoạn mã thực thi ghép vào chương trình chủ và giành quyền điều khiển khi chương trình chủ thực thi  Virus được thiết kế nhằm nhân bản, tránh né sự phát hiện, phá hỏng/thay đổi dữ liệu, hiển thị thông điệp hoặc làm cho hệ điều hành hoạt động sai lệch 13 Hoạt động của virus  Các pha:  Không hoạt động - chờ đợi sự kiện kích hoạt  Lan truyền - sao chép mình tới chương trình/đĩa  Kích hoạt – theo sự kiện để thực thi payload  Thực thi – theo payload  Chi tiết phụ thuộc các máy/HĐH cụ thể  Khai thác các đặc trưng/điểm yếu 14 Cấu trúc của virus program V := {goto main; 1234567; subroutine infect-executable := {loop: file := get-random-executable-file; if (first-line-of-file = 1234567) then goto loop else prepend V to file; } subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if some condition holds} main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;} next: } 15 Các kiểu virus  Có thể phân loại theo cách tấn công của chúng  Virus ký sinh  Virus thường trú bộ nhớ  Virus boot sector  Lén lút  Virus đa hình  Virus macro 16 Virus ký sinh  Loại virus ký sinh vào các tập tin thi hành (com, exe, pif, scr, dll...) trên hệ thống đích  Ứng dụng chủ (host application) có thể bị nhiễm virus vào đầu file, giữa file hoặc cuối file  Khi hệ thống thi hành một ứng dụng chủ nhiễm:  Pay-load nắm quyền sử dụng CPU  Vir-code thực thi các thủ tục phá hoại, sử dụng dữ liệu trong Vir-data  Trả quyền sử dụng CPU cho ứng dụng chủ 17 Boot virus  Boot-virus: loại virus nhiễm vào mẫu tin khởi động (boot record - 512 byte) của tổ chức đĩa  Multi-partite: loại virus tổ hợp tính năng của virus ký sinh và boot virus, nhiễm cả ...